Ankr командасынын 5-декабрдагы жарыясына ылайык, 1-декабрдагы 20 миллион долларлык Ankr протоколунун бузулушуна команданын мурдагы мүчөсү себепкер болгон.
Экс-кызматкер тарабынан "жабдуу чынжыр чабуулу" жүргүзүлгөн коюу зыяндуу кодду команданын ички программалык камсыздоосуна келечектеги жаңыртуулардын пакетине киргизет. Бул программа жаңыртылгандан кийин, зыяндуу код чабуулчуга компаниянын серверинен команданын жайгаштыргыч ачкычын уурдоого мүмкүндүк берген коопсуздуктун начардыгын жараткан.
Аракеттен кийин отчет: aBNBc Токендин эксплуатациясынан алынган биздин жыйынтыктар
Бул тууралуу тереңирээк камтылган жаңы блог постун чыгардык: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) December 20, 2022
Буга чейин команда эксплуатация болгонун жарыялаган уурдалган жайгаштыруучу ачкыч менен шартталган Бул протоколдун акылдуу келишимдерин өркүндөтүү үчүн колдонулган. Бирок ошол учурда алар жайгаштыргыч ачкыч кантип уурдалганын түшүндүрүшкөн эмес.
Анкр жергиликтүү бийликке эскертип, кол салган адамды жоопко тартууга аракет кылууда. Ошондой эле келечекте анын ачкычтарына кирүү мүмкүнчүлүгүн коргоо үчүн коопсуздук практикасын өркүндөтүүгө аракет кылууда.
Ankrда колдонулгандар сыяктуу жаңыртыла турган келишимдер бирден-бир ыйгарым укуктарга ээ болгон "ээсинин эсеби" концепциясына таянат. жасоо тема боюнча OpenZeppelin окуу куралына ылайык, жаңыртуулар. Уурдоо коркунучунан улам, көпчүлүк иштеп чыгуучулар бул контракттарга ээлик кылуу укугун gnosis сейфине же башка көп кол тамга эсебине өткөрүп беришет. Ankr командасы буга чейин менчик үчүн multisig эсебин колдонбогонун, бирок мындан ары муну жасай турганын айтты:
“Экплуатация жарым-жартылай мүмкүн болгон, анткени биздин иштеп чыгуучунун ачкычында бир эле ката кетирилген. Эми биз жаңыртуулар үчүн мульти-сиг аутентификациясын ишке ашырабыз, ал убакыттын чектелген интервалдарында бардык негизги сактоочулардан кол коюуну талап кылат, бул түрдөгү келечектеги чабуулду өтө кыйынга тургузат, эгерде мүмкүн болбосо. Бул өзгөчөлүктөр жаңы ankrBNB келишиминин жана бардык Ankr токендеринин коопсуздугун жакшыртат.
Ankr ошондой эле адам ресурстарын колдонуу тажрыйбасын жакшыртууга убада берди. Ал бардык кызматкерлер үчүн, атүгүл алыстан иштегендер үчүн "кыскартылган" фонддук текшерүүлөрдү талап кылат жана купуя маалыматтарга муктаж болгон жумушчулар гана кире аларына ынануу үчүн кирүү укуктарын карап чыгат. Компания ошондой эле бир нерсе туура эмес болуп калганда команданы тезирээк эскертүү үчүн жаңы эскертме системаларын ишке киргизет.
Ankr протоколун бузуп биринчи жолу ачылган 1-декабрда. Бул чабуулчуга 20 триллион Ankr Reward Bearing Staked BNB (aBNBc) тыйынын чыгарууга мүмкүндүк берди, ал дароо борбордон ажыратылган биржаларда болжол менен 5 миллион долларга USD Монетасына алмаштырылды (USDC) жана Ethereum менен көпүрө. Команда өзүнүн aBNBb жана aBNBc токендерин эксплуатациядан жабыркаган колдонуучуларга кайра чыгарууну жана бул жаңы токендерди толук колдоо үчүн өз казынасынан 5 миллион доллар коротууну пландап жатканын билдирди.
Иштеп чыгуучу дагы 15 миллион доллар жумшады HAY стабилкоинди кайталаңыз, бул эксплуатациядан улам камкордукка алынган.
Булак: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security